新SQL注入技术威胁Oracle数据库

日期:2008-4-28作者:Dennis Fisher翻译:Tina Guo来源:TechTarget中国 英文

Oracle   数据库   PL/SQL   侧面SQl注入   

【TechTarget中国原创】

数据库安全专家David Litchfield正在研究利用多种不需要输入的PL/SQL程序的新方法。他把这型技术描述为侧面SQl注入,可以对Oracle数据可进行远程攻击。

  这种攻击利用一些普通的数据类型,包括DATE和NUMBER,它们不需要使用用户的输入,所以通常不被认为可以攻击。但是,Litchfield在他关于侧面注入攻击的新文章中写道,使用一点创造性译码和一些Oracle数据可管理系统工作方式的知识,黑客就可以操作一些一般的功能。

  Litchfield是英国NGS Software公司的创始人之一,他说这个问题可能不会那么容易的攻击,但是特殊情况下,它可以被用于向数据库传输任意SQL命令。

  PL/SQL是Oracle公司的SQL(structured query language)的延伸。

  “总之,如果使用SYSDATE,那些不需要用户输入的功能和程序就有可能受到攻击。这里的教训总是会得到验证,防止这类攻击进入你的代码。第二个教训是DATE或者NUMBER不应该再被认为是安全的,也不会和注入携带者一样有用:这篇文章证明,他们是。”他写道。

  这类攻击工作模式如下:使用SYSDATE功能,黑客可以使用alter SESSION权限欺骗SQl编译器,接受任意的SQL数据作为DATE数据类型的输入。DATE_PROC使用变量V_DATE在调用SYSDATE功能后,设置数据。尽管如此,通过改变讨论(altering the session)和插入SQL命令,黑客可以迫使数据库执行他的命令。

  黑客的攻击不需要本地访问数据库。

  “可以通过远程完成,例如,借助一个Web应用程序,通过SQL注入漏洞,但是不是直接进入。” Litchfield在邮件采访中,如此说。“首先,我们攻击注入点来执行促进功能,这允许我们运行任意SQL,然后在这里可以使用这项技术。”

  Litchfield的文章中有意思的一点是DATE和NUMBER等数据类型被认为是“安全”的事实,意味着他们还没有受到攻击。最近几个月中,这类攻击越来越多,研究人员已经开始深入研究流形的应用程序,在有些情况下发现了严重的新型攻击携带者。

  去年夏天,Watchfire公司的研究人员,现在是IBM的一部分,他们发现攻击摇摆指示器的方法,这是一个被认为不能攻击的平常的程序失误。IBM的ISS部门的研究人员 Mark Dowd发表了一篇论文,详细指出了攻击NULL指示器解除参照。

  对他来说,Litchfield的新方法不是通过长时间的脑子里的工作,而是通过看电视产生的。

  他说:“同时,观看‘Bones’的一段情节,里面发生的一些事情让我想到不要接受默写认为真实东西,比如,在这种情况下,通过DATE和NUMBER数据类型进行SQL注入是不可能的。所以坐下来,想一想我在文章中提出的一些技术。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

数据库安全>更多

  • MongoDB勒索攻击蔓延原因:不安全配置

    攻击者已经发现很多MongoDB配置存在缺陷,而这为勒索攻击打开了大门……与勒索软件攻击不同,其中数据被加密,在这种攻击中,攻击者可访问数据库、复制文件、删除所有内容并留下勒索字条——承诺在收到赎金后归还数据。

  • 创纪录!Oracle关键补丁更新修复关键漏洞曝光

    本季度的Oracle关键补丁更新(CPU)提供了创纪录的276个漏洞的修复,其中包含高达19个CVSS 3.0评分为9.8的漏洞,所有这些漏洞都可远程利用而无需身份验证。

  • Guardium:近实时的数据安全性和监控

    IBM InfoSphere Guardium 解决方案能够保障企业数据中心(SAP、PeopleSoft、Cognos、Siebel 等) 中可信信息的安全性和完整性,并能够通过自动化异构环境中的整个遵从性审计流程降低成本。

  • 中小企业的数据库安全:三大方面要牢记

    随着日益复杂的攻击和不断上升的内部数据盗窃,数据库安全成为中小企业信息安全团队重点关注的焦点,超越了传统的认证、授权和访问控制。

相关推荐

  • Oracle现使用CVSS 3.0对漏洞进行评级

    Oracle今年4月关键补丁更新(Critical Patch Update)涉及多款产品中的136个漏洞,其中最大的变化是切换到通用安全漏洞评分系统3.0版本或者说CVSSv3,该版本可更准确反映漏洞带来的影响。

  • 为免攻击困扰 甲骨文弃用Java浏览器插件

    甲骨文公司宣布在下一版本的Java Development Kit中将弃用Java浏览器插件,该公司已经要求开发人员开始迁移Java applet到新的Java Web Start技术。

  • 专家观点:Oracle更新补丁应加快节奏

    Oracle在其新的季度更新中对超过50款产品修复了154个漏洞,不过专家称Oracle应该加快其更新节奏,至少是为了那些销量比较好的产品……

  • 金融数据如何实现安全自主可控?

    金融行业核心软硬件如操作系统、数据库、存储等普遍来自国外,国产化率较低,自主可控的压力较大,存在着难以预知的安全风险……

技术手册>更多

  • 内部威胁管理

    由被授权人员造成的内部威胁都有很多的研究记录和法庭案件记录。根据美国的ACFE的记录,企业每年因诈骗而受到的损失大约在6520亿美元。不幸的是,内部威胁不只是诈骗,还要考虑到怠工,懒散,人为误差和外部的利用。如果你还没有认真审视过你的组织内部威胁管理,那么现在就应该看看了。

  • 渗透测试指南(更新版)

    渗透测试(penetration test)是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?

  • 远程访问安全

    在有些时候,你可能需要有远程用户连接到你的网络上。远程计算在生产力和环境上有些得到证明的优势,但是并不是没有缺点——大部分的时候以信息安全风险的形式出现。如果远程用户的电脑感染了病毒或者他们在不安全对的无线连接上传送敏感的电子邮件和即时消息时,会发生什么事儿呢?

  • 配置应用防火墙

    市场研究公司Gartner最近发表的研究报告强调了这种威胁并且预测当前成功的攻击有75%以上发生在应用层。Gartner甚至提出了一个更吓人的预测:到2009年年底,80% 的企业将成为应用层攻击的受害者。这正是应用防火墙发挥作用的地方。这些防火墙在HTTP通讯到达网络服务器之前对这些通讯进行应用层检查。这些设备能够检测到一个连接并且分析用户正在提供给这个应用程序的指令的性质和类型。然后,它们能够根据已知的攻击特征或者异常的应用状况分析这些通讯。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算